按以下步骤在 SASE Orchestrator 中配置 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub) 类型的非 SD-WAN 目标

前提条件

过程

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 网络服务 (Network Services),然后在非 SD-WAN 目标 (Non SD-WAN Destinations) 下,展开通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway)
  2. 单击新建 (New),然后输入非 SD-WAN 目标名称 (Name)类型 (Type)。在输入 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub) 作为类型 (Type) 后,对话框中将显示虚拟 Hub 配置 (Virtual Hub Configuration) 部分:
  3. 您可以配置以下设置:
    选项 描述
    名称 (Name) 您可以编辑之前为 非 SD-WAN 目标 输入的名称。
    类型 (Type) 将类型显示为 Microsoft Azure 虚拟 Hub (Microsoft Azure Virtual Hub)。您无法编辑此选项。
    隧道模式 (Tunnel Mode) 活动/热备用 (Active/Hot-Standby) 模式支持最多设置 2 个隧道端点或网关。
    活动/活动 (Active/Active) 模式支持最多设置 4 个隧道端点或网关。所有活动隧道都可以通过 ECMP 发送和接收流量。
    ECMP 负载共享方法 基于流负载 (Flow Load Based)(默认):基于流负载的算法会将新流量映射到在目标可用路径中映射流量最少的路径。
    基于哈希负载 (Hash Load Based) 算法从 5 元组(SrcIP、DestIP、SrcPort、DestPort、Protocol)获取输入参数。根据用户配置,这些输入可以是此元组的任意一项、全部或任意子集。流量将根据具有选定输入的哈希值映射到路径。
    订阅 (Subscription) 从下拉菜单中选择订阅。
    虚拟 WAN (Virtual WAN) 应用程序会从 Azure 动态获取所有可用的虚拟 WAN。从下拉菜单中选择虚拟 WAN。
    资源组 (Resource Group) 应用程序将自动填充与选定虚拟 WAN 相关联的资源组。
    虚拟 Hub (Virtual Hub) 从下拉菜单中选择虚拟 Hub。
    Azure 区域 (Azure Region) 应用程序将自动填充与选定虚拟 Hub 对应的 Azure 区域。
    启用隧道 (Enable Tunnel(s)) 选中启用隧道 (Enable Tunnel(s)) 复选框,以允许 VMware VPN 网关在成功置备站点后立即启动到目标虚拟 Hub 的 VPN 连接。
    注:
    • 只有在至少一个配置文件上配置非 SD-WAN 目标后,VMware VPN 网关才会启动 IKE 协商。
    • 对于 Microsoft Azure 类型的非 SD-WAN 目标,使用的默认本地身份验证 ID 值为 SD-WAN 网关接口公用 IP。
  4. 单击创建 (Create)
    SASE Orchestrator 会自动启动部署,置备 Azure VPN 站点,并为新配置的站点下载 VPN 站点配置。它会将配置存储在 SASE Orchestrator非 SD-WAN 目标配置数据库中。

    SASE Orchestrator 端置备 Azure VPN 站点后,您可以在 Azure 门户中导航到虚拟 WAN (Virtual WAN) > 虚拟 WAN 架构 (Virtual WAN architecture) > VPN 站点 (VPN sites) 以查看 VPN 站点(主站点和冗余站点)。

下一步做什么

  • 将 Microsoft Azure 非 SD-WAN 目标 与配置文件相关联,以便在分支和 Azure 虚拟 Hub 之间建立隧道。有关更多信息,请参阅将 Microsoft Azure 非 SD-WAN 目标与 SD-WAN 配置文件关联
  • 您必须手动将 SD-WAN 路由添加到 Azure 网络中。有关更多信息,请参阅编辑 VPN 站点
  • 将配置文件与 Microsoft Azure 非 SD-WAN 目标关联后,您可以导航到配置 (Configure) > 网络服务 (Network Services),以返回到通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域,然后为非 SD-WAN 目标配置 BGP 设置。滚动到 非 SD-WAN 目标 的名称,然后单击 BGP 列中的编辑 (Edit) 链接。有关更多信息,请参阅在来自网关的 IPsec 上配置 BGP
  • 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击某个 非 SD-WAN 目标 对应的 BFD 列中的编辑 (Edit) 链接,以配置 BFD 设置。有关更多信息,请参阅为网关配置 BFD

有关 Azure 虚拟 WAN 网关自动化的信息,请参阅从 SD-WAN 网关 中配置 SASE Orchestrator 以实现 Azure 虚拟 WAN IPsec 自动化